KR20150069001A - Restricted certificate enrollment for unknown devices in hotspot networks - Google Patents

Restricted certificate enrollment for unknown devices in hotspot networks Download PDF

Info

Publication number
KR20150069001A
KR20150069001A KR1020157012468A KR20157012468A KR20150069001A KR 20150069001 A KR20150069001 A KR 20150069001A KR 1020157012468 A KR1020157012468 A KR 1020157012468A KR 20157012468 A KR20157012468 A KR 20157012468A KR 20150069001 A KR20150069001 A KR 20150069001A
Authority
KR
South Korea
Prior art keywords
certificate
network access
network
access
way
Prior art date
Application number
KR1020157012468A
Other languages
Korean (ko)
Other versions
KR101701793B1 (en
Inventor
산지브 쿠마르 싱
페레츠 페더
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20150069001A publication Critical patent/KR20150069001A/en
Application granted granted Critical
Publication of KR101701793B1 publication Critical patent/KR101701793B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

네트워크 액세스 시스템, 예를 들어, 네트워크 핫스팟(110)은, 모바일 네트워크 액세스 디바이스(180), 예를 들어, 스마트 폰 또는 WiFi 전용 디바이스가 네트워크 서비스들에 대한 액세스를 획득하기 위해 네트워크 액세스 표준 지정 및/또는 디바이스 식별 데이터를 제공하도록 요구한다. 네트워크 액세스 표준 지정은 모바일 네트워크 액세스 디바이스(180)에 의해, PKCS10 인증서 서명 요청의 EKU 키 목적 필드를 통해 온라인 서명 서버(130), OSU에 제공될 수 있다. 디바이스 식별 데이터는 서명 요청의 대상 필드를 통해 OSU(130)에 제공될 수 있다. OSU(130)는, 모바일 네트워크 액세스 디바이스(180)가 서명된 네트워크 액세스 인증서를 요청하기 전에 모바일 네트워크 액세스 디바이스(180)에 의해 제공된 디바이스 식별 데이터와 상기 디바이스 식별 데이터가 동일할 것을 요구할 수 있다.A network access system, for example, a network hotspot 110, may be used to allow a mobile network access device 180, e.g., a smartphone or WiFi-only device, to specify network access standards and / Or device identification data. The network access standard specification may be provided by the mobile network access device 180 to the online signing server 130, OSU, via the EKU key purpose field of the PKCS10 certificate signing request. The device identification data may be provided to the OSU 130 via the subject field of the signature request. The OSU 130 may require that the device identification data and the device identification data provided by the mobile network access device 180 be the same before the mobile network access device 180 requests the signed network access certificate.

Figure P1020157012468
Figure P1020157012468

Description

핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록{RESTRICTED CERTIFICATE ENROLLMENT FOR UNKNOWN DEVICES IN HOTSPOT NETWORKS}[0001] RESTRICTED CERTIFICATE ENROLLMENT FOR UNKNOWN DEVICES IN HOTSPOT NETWORKS [0002]

본 출원은, 2012년 11월 13일에 출원되고 발명의 명칭이 "Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks"인, 이전에 출원된 미국 가특허출원 제 61/726,009호의 우선권을 주장하며, 상기 가특허출원은 그 전체가 참조로 본원에 통합된다.This application claims priority to a previously filed U.S. Provisional Patent Application No. 61 / 726,009, filed November 13, 2012, entitled " Restricted Certificate Enrollment for Unknown Devices in Hotspot Networks & A patent application is incorporated herein by reference in its entirety.

본 개시는 일반적으로, 네트워킹된 무선 통신 분야에 관한 것이다.
This disclosure generally relates to the field of networked wireless communications.

본 섹션은, 본 발명들의 더 양호한 이해를 용이하게 하는데 도움이 될 수 있는 양상들을 소개한다. 따라서, 본 섹션의 진술들을 이러한 관점에서 읽어야 하며, 이러한 진술이 종래 기술인 것 또는 종래 기술이 아닌 것에 대한 인정인 것으로 이해해서는 안된다.This section introduces aspects that may be helpful in facilitating a better understanding of the present invention. Accordingly, the statements of this section should be read in this light and should not be construed as an admission that such statements are prior art or non-conventional.

모바일 디바이스들 및 모바일 애플리케이션들에서 최근의 진보들은 모바일 네트워크에 대한 상당한 대역폭 및 성능 요구들을 초래해 왔다. 모바일 및 WiFi 네트워크 기술 및 표준들은, 이종 네트워크(HetNet) 아키텍쳐 쪽으로 진화하고 있다. 이러한 진화는, 모바일 서비스 제공자들이 모바일 네트워크 트래픽을 WiFi 네트워크로 넘기도록 허용하고 또한 모바일 서비스 제공자들이 셀룰러 및 WiFi 액세스를 포함하는 포괄적인 서비스 계획들을 제공할 수 있게 하는 것이 예상된다.
Recent advances in mobile devices and mobile applications have resulted in significant bandwidth and performance requirements for mobile networks. Mobile and WiFi network technologies and standards are evolving toward a heterogeneous network (HetNet) architecture. This evolution is expected to allow mobile service providers to pass mobile network traffic over WiFi networks and also enable mobile service providers to provide comprehensive service plans including cellular and WiFi access.

일 실시예는, 예를 들어, 온라인 서명 서버(OSU; online signup server)를 동작시키는 방법을 제공한다. 서버는, 클라이언트 디바이스, 예를 들어, 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스로부터 네트워크 액세스 인증서 서명 요청을 수신한다. 서버는, 인증서 서명 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 인증서 요청을 인증서 발행 기관에 포워딩한다.One embodiment provides a method of operating an online signup server (OSU), for example. The server receives a network access certificate signing request from a client device, for example, a mobile network access device or a WiFi-only device. The server forwards the certificate request to the certificate issuing authority, provided that the certificate signing request includes the same network access standard as the predetermined value.

다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버, 예를 들어, OSU 서버를 제공한다. 서버는 프로세서, 및 네트워크에 커플링된 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 모바일 네트워크 액세스 디바이스로부터 네트워크 인터페이스를 통해 인증서 등록 요청을 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 방법은, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준 식별자를 포함한다는 조건으로, 인증서 등록 요청을 네트워크 인터페이스를 통해 인증서 발행 기관에 포워딩하는 단계를 더 포함한다.Another embodiment provides a server, e.g., an OSU server, configured to perform embodiments of the above-described method. The server includes a processor, and a network interface coupled to the network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a certificate enrollment request from a mobile network access device via a network interface. The method further includes forwarding the certificate enrollment request to the certificate issuing authority via the network interface, provided that the certificate enrollment request includes a network access standard identifier equal to a predetermined value.

몇몇 실시예들에서, 전술된 방법은, 인증서 서명 요청을 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스로부터 수신하는 단계, 및 디바이스 식별 데이터를 포함하는 메시지가 디바이스로부터 이전에 수신되었다는 조건으로, 인증서 서명 요청을 인증서 발행 기관에 포워딩하는 단계를 포함한다. 몇몇 실시예들에서, 미리결정된 값은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정한다. 임의의 실시예에서, 미리결정된 값은 확장된 키 용도(EKU) 키 목적 필드를 통해 전달될 수 있다. 몇몇 실시예들에서, 미리결정된 값은 스트링 id-kp-HS2.0Auth를 포함한다. 다양한 실시예들에서, 클라이언트 디바이스는, 예를 들어, 모바일 폰, 스마트 폰, 모바일 컴퓨팅 디바이스, 모바일 폰 능력이 없는 모바일 컴퓨팅 디바이스, 또는 WiFi를 갖는 개인용 컴퓨터를 포함할 수 있다.In some embodiments, the above-described method includes receiving a certificate signing request from a mobile network access device or a WiFi-only device, and sending a certificate signing request, on condition that a message containing device identification data has previously been received from the device And forwarding to the certificate issuing authority. In some embodiments, the predetermined value specifies a hotspot 2.0 (HS2.0) or later standard. In certain embodiments, the predetermined value may be conveyed via an extended key usage (EKU) key purpose field. In some embodiments, the predetermined value includes the string id-kp-HS2.0Auth. In various embodiments, the client device may include, for example, a mobile phone, a smartphone, a mobile computing device, a mobile computing device without mobile phone capability, or a personal computer with a WiFi.

다른 양상은, 인증서 승인 서버, 예를 들어, 인증서 기관(CA)을, 예를 들어, 동작시키는 방법을 제공한다. 방법은, 인증서 승인 서버에 의해, 예를 들어, 모바일 네트워크 액세스 디바이스로부터 네트워크 액세스를 위한 인증서 서명 요청을 수신하는 단계를 포함한다. 서버는, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 서명된 네트워크 액세스 인증서를 디바이스에 제공한다.Another aspect provides a method of operating a certificate approval server, e.g., a certificate authority (CA), for example. The method includes receiving, by a certificate acceptance server, a certificate signing request for network access, for example, from a mobile network access device. The server provides the device with a signed network access certificate, provided that the certificate enrollment request includes the same network access standard as the predetermined value.

다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버를 제공한다. 서버는 프로세서, 및 네트워크에 동작가능하게 커플링되는 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 모바일 네트워크 액세스 디바이스 또는 WiFi-전용 디바이스로부터 네트워크 인터페이스를 통해 인증서 등록 요청을 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 서명된 네트워크 액세스 인증서는, 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 네트워크 인터페이스를 통해 디바이스에 제공된다.Another embodiment provides a server configured to perform embodiments of the method described above. The server includes a processor, and a network interface operatively coupled to the network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a certificate enrollment request from a mobile network access device or a WiFi-only device via a network interface. The signed network access certificate is provided to the device via the network interface, provided that the certificate enrollment request includes the same network access standard as the predetermined value.

다양한 실시예들에서, 서명된 액세스 인증서는, 모바일 네트워크 액세스 디바이스를 식별하는 디바이스 식별 데이터를 포함한다. 몇몇 이러한 실시예들에서, 디바이스 식별 데이터는 서명된 인증서의 대상 필드에서 전달된다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 HS2.0 또는 그 후의 표준을 특정한다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 서명된 인증서의 EKU_key_purpose 필드에서 전달된다. 몇몇 실시예들에서, 서명된 액세스 인증서는, 네트워크 액세스 표준 지정이 위험하다는 지정을 포함한다. 몇몇 실시예들에서, 디바이스 식별 데이터는 IMEI, MEID, MAC 어드레스 또는 고유 디바이스 식별(ID), 예를 들어, 직렬 번호를 포함한다.In various embodiments, the signed access certificate includes device identification data that identifies the mobile network access device. In some such embodiments, the device identification data is carried in the subject field of the signed certificate. In some embodiments, the network access standard specification specifies HS2.0 or later standards. In some embodiments, the network access standard specification is conveyed in the EKU_key_purpose field of the signed certificate. In some embodiments, the signed access certificate includes specifying that the network access standard specification is dangerous. In some embodiments, the device identification data includes an IMEI, a MEID, a MAC address or a unique device identification (ID), e.g., a serial number.

다른 양상은, 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 전화 또는 WiFi-전용 디바이스를, 예를 들어, 동작시키는 방법을 제공한다. 모바일 디바이스는 서비스 제공자 네트워크로의 액세스를 위한 인증서를 수신한다. 디바이스는, 인증서 서명 요청을 서비스 제공자 네트워크 서버에 전송하고, 서명 요청은 네트워크 액세스 표준 지정을 포함한다. 모바일 디바이스는, 네트워크 액세스 표준 지정을 포함하는 서명된 액세스 인증서를 수신한다.Another aspect provides a method for operating, e.g., a mobile network access device, e.g., a mobile phone or WiFi-specific device. The mobile device receives a certificate for access to the service provider network. The device sends a certificate signing request to the service provider network server, and the signature request includes a network access standard specification. The mobile device receives a signed access certificate that includes a network access standard specification.

다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 전화 또는 WiFi-전용 디바이스를 제공한다. 모바일 네트워크 액세스 디바이스는 프로세서, 및 무선 네트워크와 통신하도록 구성되는 트랜시버를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 서비스 제공자 네트워크로의 액세스를 위한 인증서를 트랜시버를 통해 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 인증서 서명 요청은 트랜시버를 통해 서비스 제공자 네트워크 서버에 전송되고, 서명 요청은 네트워크 액세스 표준 지정을 포함한다. 서명된 액세스 인증서는 트랜시버를 통해 수신되고, 인증서는 네트워크 액세스 표준 지정을 포함한다.Another embodiment provides a mobile network access device, e.g., a mobile phone or WiFi-only device, configured to perform embodiments of the above-described method. The mobile network access device includes a processor, and a transceiver configured to communicate with the wireless network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a certificate for access to a service provider network via a transceiver. The certificate signing request is sent to the service provider network server via the transceiver, and the signature request includes a network access standard specification. The signed access certificate is received via the transceiver, and the certificate includes a network access standard specification.

방법의 다양한 실시예들은, 모바일 네트워크 액세스 디바이스 또는 WiFi 전용 디바이스에 의해 디바이스 식별 데이터를 네트워크 액세스 서버에 제공하는 단계를 더 포함하고, 서명된 액세스 인증서는 디바이스 식별 데이터를 포함한다. 몇몇 이러한 실시예들에서, 디바이스 식별 데이터는 서명된 인증서의 대상 필드에서 전달된다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 HS2.0 또는 그 후의 표준을 특정한다. 몇몇 실시예들에서, 네트워크 액세스 표준 지정은 서명된 인증서의 EKU_key_purpose 필드에서 전달된다. 다양한 실시예들에서, 클라이언트 디바이스는 모바일 폰, 스마트 폰, 모바일 컴퓨팅 디바이스, 모바일 폰 능력이 없는 모바일 컴퓨팅 디바이스, 또는 WiFi를 갖는 개인용 컴퓨터를 포함할 수 있다. 몇몇 실시예들에서, 서명된 액세스 인증서는, 네트워크 액세스 표준 지정이 위험하다는 지정을 포함한다.Various embodiments of the method further comprise providing device identification data to a network access server by a mobile network access device or a WiFi dedicated device, wherein the signed access certificate includes device identification data. In some such embodiments, the device identification data is carried in the subject field of the signed certificate. In some embodiments, the network access standard specification specifies HS2.0 or later standards. In some embodiments, the network access standard specification is conveyed in the EKU_key_purpose field of the signed certificate. In various embodiments, the client device may comprise a mobile phone, a smart phone, a mobile computing device, a mobile computing device without mobile phone capability, or a personal computer with a WiFi. In some embodiments, the signed access certificate includes specifying that the network access standard specification is dangerous.

다른 실시예는, 예를 들어, 인증, 인가 및 과금(AAA) 서버를 동작시키는 방법을 제공한다. 방법은, 서버에 의해 클라이언트 디바이스로부터 액세스 인증서를 포함하는 네트워크 액세스 요청을 수신하는 단계를 포함한다. 서버는, 인증서와 연관된 목적 지정, 예를 들어, 키 목적을 결정한다. 목적 지정이, 예를 들어, 특정 네트워크 액세스 표준에 대해, 미리결정된 목적 지정에 매칭하면, 서버는 클라이언트 디바이스에 의한 네트워크 서비스들로의 액세스를 승인한다.Another embodiment provides a method of operating an authentication, authorization and accounting (AAA) server, for example. The method includes receiving a network access request by the server from a client device, the access request including an access certificate. The server determines the destination assignment associated with the certificate, e.g., the key purpose. If the destination specification matches a predetermined destination specification, e.g., for a particular network access standard, the server grants access to network services by the client device.

다른 실시예는, 전술된 방법의 실시예들을 수행하도록 구성되는 서버를 제공한다. 서버는 프로세서, 및 네트워크에 동작가능하게 커플링되는 네트워크 인터페이스를 포함한다. 비일시적 머신 판독가능 저장 매체 상에 프로그램 코드가 인코딩된다. 프로그램 코드는, 인증서를 포함하는 네트워크 액세스 요청을 네트워크 인터페이스를 통해 클라이언트 디바이스로부터 수신하는 단계를 포함하는 방법을 구현하기 위해 프로세서에 의해 실행된다. 네트워크 서버는 인증서와 연관된 목적을 결정한다. 목적이 미리결정된 목적이라는 조건으로, 클라이언트 디바이스에 의한 네트워크 서비스들로의 액세스가 승인된다.Another embodiment provides a server configured to perform embodiments of the method described above. The server includes a processor, and a network interface operatively coupled to the network. The program code is encoded on the non-transitory machine-readable storage medium. The program code is executed by a processor to implement a method comprising receiving a network access request including a certificate from a client device via a network interface. The network server determines the purpose associated with the certificate. Access to network services by the client device is granted, provided the purpose is a predetermined purpose.

다양한 실시예들에서, 미리결정된 목적은 핫스팟 네트워크로의 액세스를 포함한다. 몇몇 이러한 실시예들에서, 핫스팟 네트워크는 HS2.0 또는 그 후의 네트워크 표준에 따른다. 다양한 실시예들에서, 방법은, 클라이언트 디바이스에 의해 제공된 인증서가 폐지되었다고 인증서 기관이 결정하는 조건으로, 클라이언트 디바이스에 대한 네트워크 액세스를 거부하는 단계를 더 포함한다. 다양한 실시예들에서, 인증서는 확장된 키 용도(EKU) 키 목적 필드 내의 목적을 포함한다. 다양한 실시예들에서, 서버는 인증, 인가 및 과금(AAA) 서버이다.
In various embodiments, the predetermined purpose includes access to the hotspot network. In some such embodiments, the hotspot network conforms to HS 2.0 or later network standards. In various embodiments, the method further comprises refusing network access to the client device, on condition that the certificate authority determines that the certificate provided by the client device has been revoked. In various embodiments, the certificate includes an object in an Extended Key Usage (EKU) Key Purpose field. In various embodiments, the server is an Authentication, Authorization, and Accounting (AAA) server.

본 발명의 더 완전한 이해는, 첨부된 도면들과 함께 행해지는 다음의 상세한 설명을 참조하여 획득될 수 있다.
도 1은, 시스템, 예를 들어, 서비스 제공자 네트워크 및 네트워크 액세스 핫스팟을 포함하는 서비스 제공자 아키텍쳐를 예시하고, 네트워크 액세스 핫스팟은, 본 명세서에 개시된 다양한 실시예들에 따라 구성되는 OSU, AAA 및 CA, 및 본 명세서에 개시된 다양한 실시예들에 따른 핫스팟을 통해 네트워크 서비스들로의 액세스를 획득하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 모바일 폰을 포함한다.
도 2는, 다양한 실시예들에 따라 동작하도록 구성되는 모바일 네트워크 액세스 디바이스, 예를 들어, 도 1의 액세스 디바이스의 예시적인 실시예를 예시한다.
도 3은, 다양한 실시예들에 따라 동작하도록 구성되는 네트워크 서버, 예를 들어, 도 1의 OSU, AAA 또는 CA 서버들의 예시적인 실시예를 예시한다.
도 4 및 도 5는, 다양한 실시예들에 따라, 클라이언트, 예를 들어, 도 1의 액세스 디바이스와 OSU 서버, AAA 서버 및 CA 서버 사이에서, 예를 들어, 메시지들의 통신을 예시하는 방법의 실시예들을 제시한다.
도 6은, 예를 들어, 도 4 및 도 5의 방법들의 몇몇 실시예들에서 이용되는 바와 같이, 다양한 실시예들에서 구성되는 PKCS 메시지 필드들을 개략적으로 예시한다.
도 7은, 네트워크 액세스 인증서를 개략적으로 예시하고, 여기서 인증서 필드들은 도 4 및 도 5의 방법들을 포함하는 다양한 실시예들에 대해 설명되는 바와 같이 구성된다.A more complete understanding of the present invention may be obtained by reference to the following detailed description, taken in conjunction with the accompanying drawings.
Figure 1 illustrates a service provider architecture including a system, e.g., a service provider network and a network access hotspot, wherein the network access hotspot comprises OSUs, AAAs and CAs configured in accordance with various embodiments disclosed herein, And a mobile network access device, e.g., a mobile phone, configured to obtain access to network services via a hotspot in accordance with various embodiments disclosed herein.
Figure 2 illustrates an exemplary embodiment of a mobile network access device, e.g., the access device of Figure 1, configured to operate in accordance with various embodiments.
Figure 3 illustrates an exemplary embodiment of a network server configured to operate in accordance with various embodiments, e.g., OSU, AAA, or CA servers of Figure 1.
Figures 4 and 5 illustrate an embodiment of a method of illustrating the communication of messages, e.g., between a client, e.g., an access device of Figure 1, with an OSU server, an AAA server, and a CA server, in accordance with various embodiments. Give examples.
Figure 6 schematically illustrates PKCS message fields configured in various embodiments, e.g., as used in some embodiments of the methods of Figures 4 and 5, for example.
Figure 7 schematically illustrates a network access certificate, where the certificate fields are configured as described for various embodiments, including the methods of Figures 4 and 5.

본 개시는, 예를 들어, 모바일 핫스팟 서비스 제공자를 통해 네트워크 액세스를 요청하는 미지의 및/또는 미등록된 모바일 네트워크 액세스 디바이스에 의한 온라인 인증서 등록을 위한 방법들 및 시스템들에 관한 것이다. 하나의 이러한 핫스팟 서비스 제공자 타입은, 본 명세서에서 때때로 간략하게 HS2.0으로 지칭되는 핫스팟 2.0 표준 및/또는 그 후의 개정들에 따른다.The present disclosure is directed to methods and systems for online certificate registration by unknown and / or unregistered mobile network access devices that request network access, for example, through a mobile hotspot service provider. One such hotspot service provider type follows the hotspot 2.0 standard referred to herein, sometimes briefly as HS2.0, and / or subsequent modifications.

개선된 "차세대" 모바일 핫스팟 네트워크 아키텍쳐에 대한 규격들의 계속된 개발은 능동적 노력을 유지한다. HS2.0은, 차세대 이종 네트워크("HetNet") 아키텍쳐에 이르는 4G 모바일 LTE 네트워크 및 WiFi 네트워크들의 수렴을 위한 키 인에이블링 기술로 고려된다. 본 명세서에서 설명된 다양한 실시예들은 HS2.0을 참조하지만, 본 개시 및 청구항들의 범주는 HS2.0으로 제한되지 않고, 예를 들어, 유사한 목적을 위한 현재 또는 이전의 표준들, HS2.0 표준에 대한 진화된 업데이트들, 또는 유사한 프로토콜들을 이용하는 다른 또는 추후 개발되는 표준들을 포함할 수 있는 것으로 이해된다.Continued development of specifications for the improved "next generation" mobile hotspot network architecture maintains active efforts. HS2.0 is considered a key enabling technology for the convergence of 4G mobile LTE networks and WiFi networks to the next generation heterogeneous network ("HetNet") architecture. The various embodiments described herein refer to HS2.0, but the scope of the present disclosure and claims is not limited to HS2.0, for example, current or prior standards for similar purposes, HS2.0 standard , Or other or later developed standards that use similar protocols.

HS2.0은, 모바일 네트워크 액세스 디바이스, 예를 들어, 스마트 폰 또는 태블릿 컴퓨터 또는 다른 모바일 컴퓨터와 같은 모바일 디바이스가, 우선순위화된 네트워크들의 리스트로부터 이용가능하고 적절한 HS2.0 네트워크를 동적으로 탐색하고, 서비스를 위해 등록하고, HS2.0 네트워크에 액세스하기 위해 필요한 액세스 자격을 갖도록 원격으로 구성되게 한다. HS2.0 네트워크 액세스를 안전하고, 이동하는 동안 끊김없이 액세스가능하게 하기 위해, 디바이스들에는 초기 WiFi 액세스 동안 인증을 위한 X.509 인증서가 제공될 수 있다.HS2.0 allows mobile devices such as mobile network access devices, e.g., smartphones or tablet computers or other mobile computers, to dynamically search for available and appropriate HS 2.0 networks from a list of prioritized networks , Register for the service, and remotely configured to have the access qualifications needed to access the HS 2.0 network. To make HS2.0 network access secure and seamlessly accessible while on the move, devices may be provided with an X.509 certificate for authentication during initial WiFi access.

HS2.0 액세스를 위해 등록하는 디바이스들은 통상적으로, HS2.0 네트워크 운영자에게 선험적으로 미지이다(예를 들어, 미등록이다). 따라서, 이러한 디바이스들은, 예를 들어, 네트워크 액세스 포인트에 직면하는 경우, 네트워크 온라인에 대한 액세스를 위해 등록할 필요가 있을 수 있다. X.509 인증 인증서에 대한 이러한 미등록된 디바이스들의 온라인 등록의 필요성은 HS2.0 서비스 제공자에 대해 보안 문제를 발생시킨다. 디바이스들은 HS2.0 운영자에게 알려지지 않기 때문에, HS2.0 운영자 네트워크 내의 또는 그에 접속된 인증서 발행 기관(CA)은 통상적으로, 인증서를 등록하는 디바이스와 그 요청된 인증서 기관의 연관을 인증할 수 없다. 이것은, 악의적인 디바이스가 인증서 등록을 위한 요청 엔티티로 가장하여, 그 엔티티가 부여받지 못한 특권을 갖는 인증서를 CA로부터 수신할 수 있는 메커니즘을 발생시킬 수 있다.Devices registering for HS2.0 access are typically a priori unknown (e.g., unregistered) to the HS2.0 network operator. Thus, such devices may need to register for access to the network online, for example, when facing a network access point. The need for on-line registration of these unregistered devices for X.509 authentication certificates creates security problems for HS2.0 service providers. Since the devices are not known to the HS2.0 operator, a certificate issuing authority (CA) within or connected to the HS2.0 operator network can not typically authenticate the association of the requested certificate authority with the device that registers the certificate. This may result in a mechanism by which a malicious device may impersonate as a requesting entity for certificate enrollment, thereby allowing the entity to receive a certificate from the CA that has the unauthorized privilege.

알려진/미리-등록된 또는 미리-제공받은 디바이스들의 경우, 및 관리자 검증에 의한 오프라인 등록의 경우, 보호장치를 제공하는 메커니즘들은 공지되어 있다. 그러나, 이러한 방법들은 일반적으로, HS2.0 WiFi 액세스 이용 케이스들에 대해 적용가능한 미등록된 디바이스들의 온라인 인증서 등록의 경우에 적용가능하지 않다. 따라서, 이러한 환경들 하에서 미등록된 디바이스들의 온라인 인증서 등록의 오용 방지를 위한 방법들 및 디바이스들이 요구된다.In the case of known / pre-registered or pre-provisioned devices, and in the case of off-line registration by administrator verification, mechanisms for providing protection devices are known. However, these methods are generally not applicable in the case of online certificate enrollment of unregistered devices applicable for HS2.0 WiFi access use cases. Therefore, there are a need for methods and devices for preventing misuse of on-line certificate registration of unregistered devices under these circumstances.

본 명세서에서 설명되는 실시예들은, 종래의 인증서 발행의 전술된 결점들을 극복하기 위해 구성되는 방법들 및/또는 디바이스를 제공한다. 아래에서 더 완전히 설명되는 바와 같이, 몇몇 실시예들은, 인터넷 엔지니어링 태스크 포스(IETF)에 의해 공표된 RFC5280에 의해 제공되는 keyPurposeID 필드에 대한 값을 제공함으로써 무선 네트워크에서 미지의 디바이스의 인증을 제공하며, 이 값은, 등록 디바이스에 의한 인가된 접속을 식별한다. 몇몇 실시예들은, 등록 디바이스가 온라인 서명 서버(OSU)에 고유의 식별자, 예를 들어, 국제 모바일 장비 아이덴티티(IMEI) 번호, WiFi 매체 액세스 제어(MAC) 어드레스, 모바일 장비 식별자(MEID) 번호 또는 고유의 디바이스 ID를 제공하는 메커니즘을 제공한다. 이러한 실시예들에서, OSU는, 후속 인증서 서명 요청(CSR)에서 제공된 아이덴티티가 등록 동안 제공된 아이덴티티에 매칭하여, 다른 디바이스가 등록된 디바이스로서 가장하는 것을 방지하는 것을 요구할 수 있다.The embodiments described herein provide methods and / or devices configured to overcome the aforementioned drawbacks of conventional certificate issuance. As described more fully below, some embodiments provide authentication of an unknown device in a wireless network by providing values for the keyPurposeID field provided by RFC 5280 published by the Internet Engineering Task Force (IETF) This value identifies the authorized connection by the registration device. Some embodiments may also be used in the case where the registration device has an identifier unique to the online signing server (OSU), e.g., an International Mobile Equipment Identity (IMEI) number, a WiFi Medium Access Control (MAC) address, Lt; RTI ID = 0.0 > ID < / RTI > In such embodiments, the OSU may require that the identity provided in a subsequent certificate signing request (CSR) match the identity provided during registration, thereby preventing another device from pretending as a registered device.

먼저, 도 1을 참조하면, 예를 들어, HS2.0 표준 및 본 명세서에서 설명되는 다양한 실시예들에 따라 무선 접속을 제공하도록 구성되는 통신 네트워크와 같은 시스템(100)이 예시된다. 시스템(100)은 본 명세서에서 제한없이 동의어로서 네트워크(100)로 지칭될 수 있다. 이전에 기술된 바와 같이, 시스템(100)의 실시예들은 HS2.0 표준으로 제한되지 않는다. 시스템(100)은 네트워크(105), 예를 들어, 서비스 제공자 네트워크(SPN) 및 핫스팟(110), 예를 들어, Wi-Fi 액세스 네트워크(WAN)를 포함한다. 네트워크(105)는, 인증, 인가 및 과금(AAA) 서버(115), 정책 서버(120), 가입 교정 서버(125) 및 온라인 서명(OSU) 서버(130)를 포함한다. OSU 서버(130)는 CA 서버(135)에 접속된다. 서버들(115, 120, 125, 130)은 미참조 데이터 경로를 통해 서비스 제공자 코어 서비스 제공자(SP) 네트워크(140)에 접속되고, 그 다음, SP 네트워크(140)는 인터넷(145)에 접속된다.First, referring to FIG. 1, a system 100 is illustrated, such as a communications network configured to provide wireless connectivity, for example, in accordance with the HS 2.0 standard and various embodiments described herein. System 100 may be referred to herein as network 100 as a synonym without limitation. As previously described, embodiments of the system 100 are not limited to the HS2.0 standard. The system 100 includes a network 105, e.g., a service provider network (SPN) and a hotspot 110, e.g., a Wi-Fi access network (WAN). The network 105 includes an authentication, authorization and accounting (AAA) server 115, a policy server 120, a subscription calibration server 125 and an on-line signatures (OSU) The OSU server 130 is connected to the CA server 135. Servers 115, 120, 125 and 130 are connected to the service provider core service provider (SP) network 140 via an unreferenced data path and then the SP network 140 is connected to the Internet 145 .

다양한 실시예들에서, OSU(130)는 온라인 서명 서버로서의 동작을 위해 HS2.0 표준에 따른다. 따라서, OSU(130)는, 네트워크(100)로의 액세스에 대해 등록하기 위해 무선 디바이스들에 등록 서비스들을 제공한다. 본 발명의 실시예들은, 그 중에서도, HS2.0 액세스를 위한 온라인 인증서 등록의 프로세스를 보호하기 위한 시스템들을 제공한다.In various embodiments, the OSU 130 complies with the HS 2.0 standard for operation as an on-line signing server. Thus, the OSU 130 provides registration services to wireless devices for registering for access to the network 100. Embodiments of the present invention provide, inter alia, systems for protecting the process of online certificate registration for HS 2.0 access.

핫스팟(110)은 HTTP 서버(150) 및 AAA 서버(155)를 포함한다. 서버들(150 및 155)은 각각 무선 액세스 네트워크에 접속되고, 여기서 액세스 제어 리스트(ACL)가 제 1 라우터(160)에서 적용된다. 제 1 라우터(160)는 제 2 라우터(165)에 접속되고, 그 다음, 제 2 라우터(165)는 예를 들어, 무선 액세스 노드에서 무선 주파수(RF) 트랜시버(170)에 접속된다. 핫스팟(110)은 SP 네트워크(140)와 제 1 라우터(160) 사이에서 미참조 데이터 경로를 통해 네트워크(105)에 접속된다. 사용자(175)는, 본 명세서에서 그리고 청구항들에서 때때로 클라이언트 디바이스(180)로 지칭되는 모바일 네트워크 액세스 디바이스(180)를 통해 인터넷(145)으로의 액세스를 획득할 수 있다. 용어 "클라이언트 디바이스"는, 모바일 폰 핸드셋들과 같이, 관련 분야의 당업자들에 의해 때때로 "사용자 장비" 또는 UE로 지칭되는 디바이스들을 포함한다. 클라이언트 디바이스(180)는, 예를 들어, 스마트 폰, 개인 휴대 정보 단말(PDA), 넷북, 노트북 또는 태블릿 컴퓨터, 랩탑 컴퓨터, 또는 RF 트랜시버(170)를 통해 핫스팟(110)과의 무선 데이터 접속을 협상 및 유지하도록 구성되는 유사한 디바이스일 수 있거나 이들을 포함할 수 있다. 다양한 실시예들에서, 클라이언트 디바이스(180)는 WiFi 네트워크와 통신할 수 있고, 몇몇 실시예들에서는 셀룰러 네트워크와 또한 통신할 수 있다. 몇몇 경우들에서, 클라이언트 디바이스(180)는 셀룰러 통신 네트워크와 통신하는 능력이 없는, 예를 들어, "WiFi 전용"이다. 본 명세서에서, "모바일" 디바이스는, 기계적인 보조없이 인간에 의해 통상적으로 이동되도록 구성되는 디바이스이다. 이러한 문맥에서, 기계적 보조는, 백팩들, 책가방들, 서류 가방들 등과 같은 개인용 조직 디바이스들을 배제한다.The hotspot 110 includes an HTTP server 150 and an AAA server 155. Servers 150 and 155 are each connected to a radio access network, where an access control list (ACL) is applied at first router 160. The first router 160 is connected to a second router 165 and the second router 165 is then connected to a radio frequency (RF) transceiver 170, for example, from a radio access node. The hotspot 110 is connected to the network 105 via an unreferenced data path between the SP network 140 and the first router 160. The user 175 may obtain access to the Internet 145 through the mobile network access device 180, which is referred to herein and in the claims as the client device 180 at times. The term "client device" includes devices sometimes referred to as "user equipment" or UE by those skilled in the relevant art, such as mobile phone handsets. The client device 180 may provide wireless data connection to the hotspot 110 via a smart phone, personal digital assistant (PDA), netbook, notebook or tablet computer, laptop computer, or RF transceiver 170 ≪ / RTI > and / or may be a similar device that is configured to negotiate and maintain. In various embodiments, the client device 180 is capable of communicating with the WiFi network and, in some embodiments, also with the cellular network. In some cases, the client device 180 is, for example, "WiFi dedicated" without the ability to communicate with the cellular communication network. As used herein, a "mobile" device is a device that is typically configured to be moved by a human without mechanical assistance. In this context, mechanical assistance excludes personal organizational devices such as backpacks, backpacks, briefcases, and the like.

도 2는, 다양한 실시예들에 따라 동작하도록 구성되는 장치(200), 예를 들어, 클라이언트 디바이스(180)를 예시한다. 당업자들은, 장치(200)의 하기 설명이 많은 가능한 구현들을 대표하는 것임을 인식할 것이다. 게다가, 장치(200)의 다양한 기능들이 편의를 위해 이산적 기능 블록들로 설명될 수 있지만, 당업자들은, 이러한 기능들이 장치(200) 내의 다양한 컴포넌트들 사이에 분산될 수 있고, 몇몇 경우들에서는 공유된 컴포넌트들에 의해 구현될 수 있음을 인식할 것이다.2 illustrates an apparatus 200, e.g., a client device 180, that is configured to operate in accordance with various embodiments. Those skilled in the art will recognize that the following description of device 200 is representative of many possible implementations. In addition, while the various functions of the device 200 may be described with discrete functional blocks for convenience, those skilled in the art will recognize that these functions may be distributed among the various components within the device 200, Or may be implemented by other components.

예시적인 실시예에서, 장치(200)는 트랜시버(210), 프로세서(220) 및 메모리(230)를 포함한다. 트랜시버(210)는 안테나(240)에 커플링되고, 안테나(240)를 통해 RF 신호들을 수신 및/또는 송신하도록 동작한다. 프로세서(220)는, 송신된 RF 신호들을 변조 및 인코딩하고 그리고/또는 수신된 RF 신호들을 복조 및 디코딩하기 위해 트랜시버(210) 및 메모리(230)와 협력하여 동작한다. 트랜시버(210), 프로세서(220) 및 메모리(230)는 본 개시의 범주 내의 실시예들의 예외로, 종래의 것일 수 있다. 메모리(230)는 유형의(tangible) 비일시적 저장 매체, 예를 들어, RAM, ROM, 플래쉬 메모리 등일 수 있다. 메모리(230)는, 아래에서 설명되는 다양한 실시예들, 예를 들어, 방법들(400 및 500)을 구현하도록 구성되는 단계들, 예를 들어, 명령들을 포함한다.In an exemplary embodiment, the apparatus 200 includes a transceiver 210, a processor 220, and a memory 230. Transceiver 210 is coupled to antenna 240 and is operative to receive and / or transmit RF signals via antenna 240. The processor 220 operates in cooperation with the transceiver 210 and the memory 230 to modulate and encode the transmitted RF signals and / or to demodulate and decode the received RF signals. Transceiver 210, processor 220 and memory 230 may be conventional, with the exception of embodiments within the scope of this disclosure. The memory 230 may be a tangible non-volatile storage medium, e.g., RAM, ROM, flash memory, and the like. The memory 230 includes the steps, e.g., instructions, configured to implement the various embodiments described below, for example, methods 400 and 500 described below.

도 3은, 다양한 실시예들에 따라 동작하도록 구성되는, 예를 들어, AAA 서버(115), OSU 서버(130) 및 CA 서버(135)를 대표하는 장치(300)를 예시한다. 당업자들은, 장치(300)의 하기 설명이 또한 많은 가능한 구현들을 대표함을 인식할 것이다. 게다가, 장치(300)의 다양한 기능들이 편의를 위해 이산적 기능 블록들로 설명될 수 있지만, 당업자들은, 이러한 기능들이 장치(300) 내의 다양한 컴포넌트들 사이에 분산될 수 있고, 몇몇 경우들에서는 공유된 컴포넌트들에 의해 구현될 수 있음을 인식할 것이다.FIG. 3 illustrates an apparatus 300 representing, for example, an AAA server 115, an OSU server 130, and a CA server 135 configured to operate in accordance with various embodiments. Those skilled in the art will recognize that the following description of device 300 also represents many possible implementations. In addition, while the various functions of the device 300 may be described as discrete functional blocks for convenience, those skilled in the art will recognize that these functions may be distributed among the various components within the device 300, Or may be implemented by other components.

예시된 실시예에서, 장치(300)는 네트워크 인터페이스(310), 프로세서(320) 및 메모리(330)를 포함한다. 네트워크 인터페이스(310)는, 네트워크(340), 예를 들어, 로컬 영역 네트워크 또는 인터넷을 통해 데이터를 수신 및/또는 송신하도록 동작한다. 프로세서(320)는, 네트워크로의 송신을 위해 데이터를 포맷하고 그리고/또는 네트워크로부터 데이터를 수신하기 위해 네트워크 인터페이스(310) 및 메모리(330)와 협력하여 동작한다. 네트워크 인터페이스(310), 프로세서(320) 및 메모리(330)는 본 개시의 범주 내의 실시예들의 예외로, 종래의 것일 수 있다. 메모리(330)는 유형의 비일시적 저장 매체, 예를 들어, RAM, ROM, 플래쉬 메모리, 자기 디스크, 광학 디스크 등일 수 있다. 메모리(330)는, 아래에서 설명되는 다양한 실시예들, 예를 들어, 방법들(400 및 500)을 구현하도록 구성되는 단계들, 예를 들어, 명령들을 포함한다.In the illustrated embodiment, the device 300 includes a network interface 310, a processor 320, and a memory 330. The network interface 310 operates to receive and / or transmit data over the network 340, e.g., a local area network or the Internet. Processor 320 operates in cooperation with network interface 310 and memory 330 to format data and / or receive data from the network for transmission to the network. Network interface 310, processor 320 and memory 330 may be conventional, with the exception of embodiments within the scope of this disclosure. Memory 330 may be any type of non-volatile storage medium, e.g., RAM, ROM, flash memory, magnetic disk, optical disk, The memory 330 includes the steps, e.g., instructions, configured to implement the various embodiments described below, for example, methods 400 and 500, described below.

도 4는, 예를 들어, 네트워크(105)로부터 네트워크 서비스들을 수신하기 위해 클라이언트 디바이스(180)를 인증하기 위한 방법(400)을 예시한다. 방법(400)의 몇몇 양상들은, 다양한 표준들, 예를 들어, 미국 MA Bedford의 RSA Security, Inc 또는 IETF에 의해 개발 및/또는 배포된 공개 키 암호화 표준(PKCS), 예를 들어, RFC5280에 의해 설명될 수 있고, 이는, 그 전체가 참조로 본 명세서에 통합된다. 방법(400)은 클라이언트(410), OSU 서버(130), AAA 서버(115) 및 CA 서버(135) 사이의 상호작용을 설명한다. 클라이언트(410)는, 클라이언트 디바이스(180), 예를 들어, 스마트 폰, PDA, 넷북, 노트북 또는 태블릿 컴퓨터 또는 랩탑 컴퓨터의 다양한 실시예들을 대표한다. 방법(400)의 다양한 단계들은, 예를 들어, 장치(200)의 예(예를 들어, 클라이언트 디바이스(180)), 및 장치(300)의 다수의 예들(예를 들어, OSU 서버(130), AAA 서버(115) 및 CA 서버(135))에 의해 구현될 수 있다.4 illustrates a method 400 for authenticating a client device 180, for example, to receive network services from a network 105. As shown in FIG. Some aspects of method 400 may be implemented in a variety of standards, such as public key cryptographic standard (PKCS) developed and / or distributed by RSA Security, Inc or IETF of MA Bedford, USA, for example, by RFC 5280 , Which is hereby incorporated by reference in its entirety. The method 400 describes the interaction between the client 410, the OSU server 130, the AAA server 115, and the CA server 135. The client 410 represents various embodiments of the client device 180, e.g., a smartphone, PDA, netbook, notebook or tablet computer or laptop computer. The various steps of the method 400 may be performed by any of a number of examples of device 200 (e.g., client device 180) and multiple instances of device 300 (e.g., OSU server 130) , AAA server 115 and CA server 135).

단계(430)에서, 클라이언트(410)는, 예를 들어, 핫스팟(110) 제공자와 연관된 리스트 엘리먼트로부터의 기본적인 URI(uniform resource identifier)에 대한 HTTPS 또는 HTTP GET 요청을 발행함으로써, OSU 서버(130)에 인증서 요청을 발행한다. 단계(435)에서, OSU 서버(130)는 인증서 요청을 CA 서버(135)에 포워딩한다. CA 서버(135)는 단계(440)에서, 요청된 인증서를 OSU 서버(130)에 리턴한다. 이러한 인증서는 본 명세서에서 인증서 기관 인증서 또는 더 간략하게 CA 인증서로서 지칭될 수 있고, 때때로 루트 인증서로서 지칭될 수 있다.At 430, the client 410 sends an HTTPS or HTTP GET request for a uniform resource identifier (URI) from a list element associated with the hotspot 110 provider, for example, to the OSU server 130, A certificate request is issued. At step 435, the OSU server 130 forwards the certificate request to the CA server 135. The CA server 135 returns the requested certificate to the OSU server 130 in step 440. [ Such a certificate may be referred to herein as a certificate authority certificate or more simply a CA certificate, and may sometimes be referred to as a root certificate.

단계(445)에서, OSU 서버(130)는 CA 인증서를 클라이언트(410)에 리턴한다. CA 인증서는, 예를 들어, X.509 인증서일 수 있다. 일 실시예에서, OSU 서버(130)는 "application/pkcs7-mime" 포맷의 "퇴보" 서트(certs)-전용 PKCS7 메시지를 갖는 CA 인증서를 제공한다. 그 다음, 단계(450)에서 클라이언트(410)는, 네트워크 액세스 표준, 예시적으로, HS2.0과 같은 핫스팟 액세스 표준(그러나, 이러한 표준에 제한되는 것은 아님)을 지정하는 미리결정된 파라미터 값을 포함하는 인증서 서명 요청을 OSU 서버(130)에 전송한다. 표준은 PKCS10 메시지의 EKU_key_purpose 필드를 통해 전달될 수 있다. 이러한 값은 하기 논의에서, 제한없이 "HS2.0"으로 지칭될 수 있다. 이러한 문맥에서, 핫스팟 액세스 표준은, 모바일 디바이스와 WiFi 네트워크 아키텍쳐 사이의 통신의 설정 및/또는 유지보수를 위한 프로토콜들을 특정하는 표준이다. 다양한 실시예들에서, OSU 서버(130)에 의해 전송된 메시지는 PKCS10 표준에 따른다. 제한없이, EKU_key_purpose 필드의 값은 "id-kp-HS2.0Auth"로 설정될 수 있다.At step 445, the OSU server 130 returns the CA certificate to the client 410. The CA certificate may be, for example, an X.509 certificate. In one embodiment, the OSU server 130 provides a CA certificate with a "revocation" -certificate-private PKCS7 message in the "application / pkcs7-mime" format. The client 410 in step 450 then includes a predetermined parameter value specifying a network access standard, illustratively, a hotspot access standard such as HS2.0 (but not limited to such a standard) To the OSU server (130). Standards can be passed through the EKU_key_purpose field of the PKCS10 message. Such a value may be referred to as "HS2.0" without limitation in the following discussion. In this context, the hotspot access standard is a standard that specifies protocols for configuration and / or maintenance of communications between the mobile device and the WiFi network architecture. In various embodiments, the messages sent by the OSU server 130 comply with the PKCS10 standard. Without limitation, the value of the EKU_key_purpose field may be set to "id-kp-HS2.0Auth".

도 6은, PKCS 메시지(600), 예를 들어, PKCS10 메시지의 일부를 개략적으로 예시한다. 메시지(600)는 몇몇 파라미터 필드들을 포함한다. 대상 파라미터 필드(610)는, 클라이언트 인증서를 제공하기 위해 CA(135)에 의한 추후의 이용을 위한 값을 제공한다. IETF RFC5280 표준에 의해 제공되는 EKU_key_purpose 파라미터 필드(620)는, 클라이언트(410)에 의한 네트워크 액세스 요청이 적용가능한 핫스팟 표준, 예를 들어, HS2.0 내에서 수행되도록 의도된다는 것을 특정하는 메커니즘을 제공한다. 물론, 필드(620)는, 클라이언트 디바이스(180)와 네트워크(105) 사이의 통신이 수행될 표준을 전달하는 임의의 적절한 값을 포함할 수 있다.6 schematically illustrates a portion of a PKCS message 600, e.g., a PKCS10 message. Message 600 includes some parameter fields. The destination parameter field 610 provides a value for future use by the CA 135 to provide a client certificate. The EKU_key_purpose parameter field 620 provided by the IETF RFC 5280 standard provides a mechanism to specify that the network access request by the client 410 is intended to be performed within the applicable hotspot standard, for example, HS2.0 . Of course, the field 620 may include any appropriate value that conveys the standard with which the communication between the client device 180 and the network 105 will be performed.

그 다음, 도 4로 되돌아가서, 단계(455)에서 OSU 서버(130)는, 클라이언트 인증서를 등록하기 위한 요청을 CA 서버(135)에 전송한다. 요청은, OSU 서버(130)에 의해 수신되는 대상 파라미터 필드(610)의 값, 예를 들어, EKU_key_purpose=HS2.0 을 포함한다.Next, returning to Fig. 4, at step 455, the OSU server 130 sends a request to the CA server 135 to register the client certificate. The request includes the value of the target parameter field 610 received by the OSU server 130, e.g., EKU_key_purpose = HS2.0.

단계(460)에서, CA 서버(135)는 등록된 인증서를 OSU 서버(130)에 리턴한다. 등록된 인증서는 본 명세서에서 클라이언트 인증서로서 지칭될 수 있다.At step 460, the CA server 135 returns the registered certificate to the OSU server 130. The registered certificate may be referred to herein as a client certificate.

도 7은, 다양한 실시예들에 따라 구성되는 클라이언트 인증서(700)를 개략적으로 예시한다. 클라이언트 인증서(700)는 대상 파라미터(705) 및 EKU 리스트(710)를 포함한다. EKU 리스트(710)는, keyPurposeID 파라미터(720) 및 위험성 파라미터(730)를 포함하는 다양한 추가적인 파라미터들을 포함하고, 이들 각각은 아래에서 추가로 설명된다.FIG. 7 schematically illustrates a client certificate 700 configured in accordance with various embodiments. The client certificate 700 includes an object parameter 705 and an EKU list 710. The EKU list 710 includes various additional parameters including a keyPurposeID parameter 720 and a risk parameter 730, each of which is further described below.

클라이언트 인증서(700)는, PKCS 메시지(600)(도 6)의 파라미터 필드(620)를 통해 이전에 제공된 값을 keyPurposeID 파라미터(720)에 포함시킨다. keyPurposeID 파라미터(720)는, 단계(450)에서 특정된 것과 동일한 값, 예를 들어, id-kp-H2.0Auth을 가질 수 있다. 선택적으로, 클라이언트 인증서(700)는 "위험" 지정을 포함한다. 이 지정은, 클라이언트 인증서(700)의 위험성 파라미터(730)가 값 "위험"으로 설정된 것으로 개략적으로 도시된다. "위험" 지정은, 연관된 EKU 리스트(710)의 프로세싱이 인증서 프로세싱 엔티티, 예를 들어 OSU(130)에 의해 강제적임을 나타내는데 이용될 수 있다.The client certificate 700 includes the previously provided value in the keyPurposeID parameter 720 via the parameter field 620 of the PKCS message 600 (FIG. 6). keyPurposeID parameter 720 may have the same value as that specified in step 450, e.g., id-kp-H2.0Auth. Optionally, the client certificate 700 includes a "DANGER" designation. This designation is schematically illustrated in that the risk parameter 730 of the client certificate 700 is set to the value "RISK ". The "DANGER" designation may be used to indicate that the processing of the associated EKU list 710 is mandatory by the certificate processing entity, for example OSU 130.

도 4로 되돌아가서, 단계(465)에서, OSU 서버(130)는 클라이언트(410)에 클라이언트 인증서를 제공한다. 단계(470)에서, 클라이언트(410)는, AAA 서버(115)에 클라이언트 인증서를 제시함으로써 핫스팟 네트워크에 액세스하려 시도한다. 클라이언트(410)는, 네트워크 액세스를 설정하기 위해, 예를 들어, EAP-TLS(extensible authentication protocol-transport layer security) 프로토콜을 이용할 수 있다.Returning to Fig. 4, at step 465, the OSU server 130 provides the client 410 with a client certificate. At step 470, the client 410 attempts to access the hotspot network by presenting the client certificate to the AAA server 115. The client 410 may use, for example, the extensible authentication protocol-transport layer security (EAP-TLS) protocol to establish network access.

선택적인 단계(475)에서, AAA 서버(115)는, 클라이언트 인증서가 폐지되었는지를 결정하기 위한 메시지를 CA 서버(135)에 전송한다. 클라이언트 인증서가 폐지되지 않았으면, 단계(480)에서, CA 서버(135)는, 인증서가 폐지되지 않았음을 나타내도록 응답한다. 단계(485)에서, AAA 서버(115)는 클라이언트 인증서에 대한 추가적인 체크들을 수행할 수 있다. 예를 들어, AAA 서버(115)는, 서명된 인증서의 지정된 목적, 예를 들어, id-kp-H2.0Auth이 미리 정의된 허용된 목적인 것을 검증할 수 있다. 단계(485)는 단계들(475/480)의 완료 이후에 발생하는 것으로 도시되어 있지만, 실시예들은 단계들의 이러한 순서에 제한되지 않는다.At optional step 475, the AAA server 115 sends a message to the CA server 135 to determine whether the client certificate has been revoked. If the client certificate has not been revoked, at step 480, the CA server 135 responds to indicate that the certificate has not been revoked. At step 485, the AAA server 115 may perform additional checks on the client certificate. For example, the AAA server 115 may verify that the specified purpose of the signed certificate, for example, id-kp-H2.0Auth, is a predefined permitted purpose. Although step 485 is shown as occurring after completion of steps 475/480, embodiments are not limited to this order of steps.

단계(485)에서, AAA 서버(115)는 하기 동작들 중 하나 이상을 수행할 수 있다. 먼저, AAA 서버(115)는 인증서 무결성을 검증함으로써 클라이언트 인증서를 인증할 수 있다. 이것은, 예를 들어, 먼저 인증서 컨텐츠의 일방향 해시(hash)를 생성함으로써 행해질 수 있다. 몇몇 실시예들에서, 이것은, 클라이언트 인증서에 표시된 해시 알고리즘을 이용하여 행해질 수 있다. 이러한 경우들에서, 해시 값은, 예를 들어, 메모리에 임시로 저장될 수 있다. 다음으로, 클라이언트 인증서에 내장된 디지털 서명이, 인증서에 포함된 공개 키를 이용하여 암호해독될 수 있다. CA 서버(135)가 클라이언트 인증서를 발행하는 다른 실시예들에서, 공개 키는 CA 루트 인증서로부터 이용될 수 있다. 해시 값들이 매칭하면, AAA 서버(115)는, 클라이언트 인증서가 생성된 이후 변경되지 않았다고 결론낼 수 있다. AAA 서버(115)는 또한, 클라이언트 인증서가 여전히 유효한지를 결정하기 위해 OCSP(Online Certificate Status Protocol)를 체크할 수 있다. AAA 서버(115)는 또한, 단계(485)에서, EKU_key_purpose 필드, 예를 들어, keyPurposeID 파라미터(720)가 적절히 리포팅된다고 결정할 수 있다. 이전에 설명된 바와 같이, keyPurposeID 파라미터(720)의 컨텐츠는, 클라이언트 디바이스(180)에 대해 승인된 액세스를 결정할 수 있다. 따라서, 이전의 예를 제한없이 계속하기 위해, 이 값이 "id-kp-HS2.0Auth"인 경우, 클라이언트 디바이스(180)는 인터넷(145)에 대한 액세스를 인증받을 수 있지만, 다른 활동들, 예를 들어, 이메일 및/또는 VPN(이에 제한되지 않음)에 대한 특권들을 승인받지는 못할 수 있다.At step 485, the AAA server 115 may perform one or more of the following operations. First, the AAA server 115 can authenticate the client certificate by verifying the integrity of the certificate. This can be done, for example, by first generating a one-way hash of the certificate content. In some embodiments, this may be done using a hash algorithm indicated in the client certificate. In these cases, the hash value may be temporarily stored, for example, in memory. Next, the digital signature embedded in the client certificate can be decrypted using the public key included in the certificate. In other embodiments in which the CA server 135 issues a client certificate, the public key may be used from the CA root certificate. If the hash values match, the AAA server 115 may conclude that the client certificate has not changed since it was created. AAA server 115 may also check the Online Certificate Status Protocol (OCSP) to determine if the client certificate is still valid. AAA server 115 may also determine, at step 485, that the EKU_key_purpose field, e. G. KeyPurposeID parameter 720, is properly reported. As previously described, the content of the keyPurposeID parameter 720 may determine an authorized access to the client device 180. [ Thus, in order to continue without limitation the previous example, if this value is "id-kp-HS2.0Auth ", client device 180 may be authorized to access the Internet 145, For example, privileges for email and / or VPN (but not limited to) may not be approved.

마지막으로, 단계(490)에서, 클라이언트 인증서 및 지정된 목적이 유효하면, AAA 서버(115)는, 네트워크 액세스가 승인된다고 나타내는 메시지를 클라이언트(410)에 전달한다. 이 메시지는 EAP-TLS 프로토콜을 통해 다시 전달될 수 있다.Finally, at step 490, if the client certificate and the specified purpose are valid, the AAA server 115 delivers a message to the client 410 indicating that network access is granted. This message can be passed back through the EAP-TLS protocol.

도 5는, 예를 들어, 클라이언트(410)(예를 들어, 클라이언트 디바이스(180))에 의한 네트워크(105)로의 액세스를 승인하는 추가적인 양상들을 포함하는 방법(500) 실시예를 예시한다. 이 실시예에서, 인증서, 예를 들어, X.509 인증서의 대상 필드는, 클라이언트 디바이스(180)를 식별하는 식별 데이터, 예를 들어, IMEI 번호, MEID 번호, WiFi MAC 어드레스 또는 고유 디바이스 ID에 의해 파퓰레이트된다. 하기 단계들의 예외로, 방법(500)의 단계들은 방법(400)에 대해 설명된 것과 같을 수 있다.5 illustrates an embodiment of a method 500 that includes additional aspects for granting access to a network 105 by, for example, a client 410 (e.g., a client device 180). In this embodiment, the subject field of a certificate, e.g., an X.509 certificate, is identified by identifying data identifying the client device 180, e.g., an IMEI number, a MEID number, a WiFi MAC address, . With the exception of the following steps, the steps of method 500 may be as described for method 400.

단계(510)에서, 클라이언트(410)는, 식별 데이터, 예를 들어, "deviceID" 또는 "DeviceInfo"를 메시지를 통해 OSU 서버(130)에 제공한다. 메시지는, 예를 들어, HTTPS 프로토콜에 의해 전달될 수 있다. OSU(130)는 식별 데이터를 데이터베이스에 레코딩할 수 있다. 클라이언트 디바이스(180)는, 식별 파라미터를, 단계(450)에서 OSU(130)에 전송되는 인증서 요청에 대상 명칭으로서 포함시킬 수 있고, CA 서버(135)는 단계(460)에서 제공되는 클라이언트 인증서를 이용하여 대상 명칭을 포함할 것이다. 대안적인 실시예에서, 클라이언트 디바이스(180)는 인증서 서명 요청의 SubjectAltName 필드를 통해 식별 파라미터를 제공할 수 있다. 다른 대안적인 실시예에서, OSU(130)는, 임의의 지원되는 통신 프로토콜을 이용함으로써 클라이언트 디바이스(180)로부터 식별 데이터를 획득할 수 있다. 단계(520)에서, OSU(130)는, 대상 명칭에서 특정된 식별 데이터가, 단계(450)의 인증서 요청에서 클라이언트 디바이스(180)에 의해 제공된 디바이스 아이덴티티에 매칭하는 것을 검증할 수 있다. 몇몇 실시예들에서, OSU(130)는 임의의 지원되는 프로토콜을 이용하여 클라이언트 디바이스(180)에 문의할 수 있고, 특정된 디바이스 식별 데이터가 클라이언트 디바이스(180)에 의해 리턴된 디바이스 식별 데이터에 매칭하는 것을 검증할 수 있다. 어느 경우이든, 이러한 아이덴티티 체크는, 가능한 악의적인 디바이스가 클라이언트 디바이스(180)로서 가장하는 것을 방지할 수 있다. 단계(520)에서, 디바이스 식별 체크가 우호적이면, OSU 서버(130)는 단계(455)의 인증서 등록 요청에 식별 데이터를 포함시킬 수 있다. 그 다음, CA 서버(135)는, 클라이언트 인증서(700)(도 7)로 예시된 바와 같이, 단계(460)에서 발행되는 인증서의 대상 파라미터(705)에 식별 데이터를 포함시킬 수 있다.At step 510, the client 410 provides identification data, e.g., "deviceID" or "DeviceInfo", to the OSU server 130 via a message. The message may be delivered, for example, by the HTTPS protocol. The OSU 130 can record the identification data in the database. The client device 180 may include the identification parameter as the subject name in the certificate request sent to the OSU 130 in step 450 and the CA server 135 may send the client certificate provided in step 460 And will include the subject name. In an alternative embodiment, the client device 180 may provide an identification parameter via the SubjectAltName field of the certificate signing request. In another alternative embodiment, the OSU 130 may obtain identification data from the client device 180 using any supported communication protocol. In step 520, the OSU 130 may verify that the identification data specified in the subject name matches the device identity provided by the client device 180 in the certificate request of step 450. In some embodiments, the OSU 130 may query the client device 180 using any supported protocol, and the specified device identification data may be matched to the device identification data returned by the client device 180 Can be verified. In either case, this identity check can prevent a possible malicious device from pretending as a client device 180. In step 520, if the device identification check is affirmative, the OSU server 130 may include the identification data in the certificate registration request of step 455. [ The CA server 135 may then include the identification data in the subject parameter 705 of the certificate issued in step 460, as illustrated by the client certificate 700 (Fig. 7).

인증서 서명 요청이 유효한 것으로 검증되면, OSU(130)는, HS2.0 규격에서 특정된 다른 규칙들에 따라 디바이스 인증서의 인증을 위한 등록 프로세스로 진행할 수 있다. 또한, CA 서버(135) 인프라구조와 함께 동작하는 OSU(130)는, 발행된 X.509 인증서에 포함된 EKU 리스트(710)에 'id-kp-HS2.0Auth' 오브젝트, 또는 유사한 목적을 서빙하는 다른 유사한 오브젝트가 포함되는 것을 보장할 수 있다.If the certificate signing request is verified to be valid, the OSU 130 may proceed to the registration process for authentication of the device certificate according to other rules specified in the HS2.0 specification. Also, the OSU 130 operating in conjunction with the CA server 135 infrastructure may provide an 'id-kp-HS2.0Auth' object, or similar object, to the EKU list 710 included in the issued X.509 certificate Lt; RTI ID = 0.0 > other < / RTI >

본 발명의 다수의 실시예들이 첨부된 도면들에서 예시되고 상기 상세한 설명에서 설명되었지만, 본 발명은 개시된 실시예들에 제한되는 것이 아니라, 하기 청구항들에 의해 기술되고 정의되는 발명으로부터 벗어남이 없이 다수의 재배열들, 변형들 및 대체들이 가능함을 이해해야 한다.While the present invention has been shown and described in detail in the drawings, it is to be understood that the invention is not limited to the disclosed embodiments, but is capable of many and many different embodiments without departing from the invention as described and defined by the following claims Rearrangements, variations, and substitutions of the present invention are possible.

Claims (18)

모바일 네트워크 액세스 디바이스로부터의 인증서 서명 요청을 서버에서 수신하는 단계와,
상기 인증서 서명 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 상기 인증서 서명 요청을 인증서 발행 기관에 포워딩하는 단계를 포함하는
방법.
Receiving a certificate signing request from a mobile network access device at a server;
Forwarding the certificate signing request to a certificate issuing authority, provided that the certificate signing request includes a network access standard that is the same as the predetermined value
Way.
제 1 항에 있어서,
상기 모바일 네트워크 액세스 디바이스로부터의 인증서 서명 요청을 수신하고, 디바이스 식별 데이터를 포함하는 메시지가 상기 모바일 네트워크 액세스 디바이스로부터 이전에 수신되었다는 조건으로, 상기 인증서 서명 요청을 상기 인증서 발행 기관에 포워딩하는 단계를 더 포함하는
방법.
The method according to claim 1,
Receiving a certificate signing request from the mobile network access device, and forwarding the certificate signing request to the certificate issuing authority, provided that a message containing device identification data has previously been received from the mobile network access device Included
Way.
제 1 항에 있어서,
상기 미리결정된 값은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
방법.
The method according to claim 1,
Wherein the predetermined value specifies a hotspot 2.0 (HS2.0) or a later standard
Way.
제 1 항에 있어서,
상기 미리결정된 값은 확장된 키 용도(EKU) 키 목적 필드를 통해 전달되는
방법.
The method according to claim 1,
The predetermined value is passed through an extended key usage (EKU) key purpose field
Way.
액세스 인증서를 포함하는 네트워크 액세스 요청을 클라이언트로부터 네트워크를 통해 네트워크 서버에 의해 수신하는 단계와,
상기 네트워크 서버에 의해 상기 액세스 인증서와 연관된 키 목적을 결정하는 단계와,
상기 키 목적이 미리결정된 키 목적이라는 조건으로, 상기 네트워크 서버에 의해, 상기 클라이언트에 네트워크 서비스에 대한 액세스를 승인하는 단계를 포함하는
방법.
Receiving, by a network server, a network access request from a client via a network, the access request including an access certificate;
Determining a key objective associated with the access certificate by the network server;
Accepting, by the network server, access to the network service to the client on condition that the key objective is a predetermined key objective
Way.
제 5 항에 있어서,
상기 미리결정된 키 목적은 핫스팟 네트워크로의 액세스인
방법.
6. The method of claim 5,
Wherein the predetermined key objective is an access to the hotspot network
Way.
제 6 항에 있어서,
상기 핫스팟 네트워크는 핫스팟(HS2.0) 또는 그 후의 네트워크 표준에 따르는
방법.
The method according to claim 6,
The hotspot network may be a hotspot (HS2.0)
Way.
제 5 항에 있어서,
상기 방법은, 상기 클라이언트에 의해 제공된 인증서가 폐지(revoked)되었다고 인증서 기관이 결정하는 조건으로, 상기 클라이언트에 대한 네트워크 액세스를 거부하는 단계를 더 포함하는
방법.
6. The method of claim 5,
The method further comprises refusing network access to the client on condition that the certificate authority determines that the certificate provided by the client has been revoked
Way.
제 5 항에 있어서,
상기 액세스 인증서는 확장된 키 용도 필드에 상기 키 목적을 포함하는
방법.
6. The method of claim 5,
Wherein the access certificate includes an expiration key that includes the key purpose in an extended key usage field
Way.
모바일 네트워크 액세스 디바이스로부터의 인증서 등록 요청(a certificate enrollment request)을 네트워크를 통해 인증서 기관 서버에서 수신하는 단계와,
상기 인증서 등록 요청이 미리결정된 값과 동일한 네트워크 액세스 표준을 포함한다는 조건으로, 상기 인증서 기관 서버에 의해, 서명된 네트워크 액세스 인증서를 상기 모바일 네트워크 액세스 디바이스에 제공하는 단계를 포함하는
방법.
Receiving a certificate enrollment request from a mobile network access device at a certificate authority server over a network;
Providing, by the certificate authority server, a signed network access certificate to the mobile network access device, provided that the certificate enrollment request includes a network access standard that is the same as the predetermined value
Way.
제 10 항에 있어서,
상기 서명된 네트워크 액세스 인증서는, 모바일 네트워크 액세스 디바이스를 식별하는 디바이스 식별 데이터를 포함하는
방법.
11. The method of claim 10,
The signed network access certificate comprising device identification data identifying the mobile network access device
Way.
제 10 항에 있어서,
네트워크 액세스 표준 지정은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
방법.
11. The method of claim 10,
The network access standard specification specifies the hotspot 2.0 (HS2.0) or later standard
Way.
제 10 항에 있어서,
네트워크 액세스 표준 지정은, 상기 서명된 네트워크 액세스 인증서의 EKU_key_purpose 필드에서 전달되는
방법.
11. The method of claim 10,
The network access standard specification is transmitted in the EKU_key_purpose field of the signed network access certificate
Way.
모바일 네트워크 액세스 디바이스에 의해, 서비스 제공자 네트워크로의 액세스를 위한 인증서를 수신하는 단계와,
상기 모바일 네트워크 액세스 디바이스에 의해, 인증서 서명 요청을 서비스 제공자 네트워크 서버에 전송하는 단계 ―상기 인증서 서명 요청은 네트워크 액세스 표준 지정을 포함함―와,
상기 네트워크 액세스 표준 지정을 포함하는 서명된 액세스 인증서를 상기 모바일 네트워크 액세스 디바이스에서 수신하는 단계를 포함하는
방법.
Receiving, by a mobile network access device, a certificate for access to a service provider network;
Sending, by the mobile network access device, a certificate signing request to a service provider network server, the certificate signing request comprising a network access standard specification;
And receiving at the mobile network access device a signed access certificate comprising the network access standard specification
Way.
제 14 항에 있어서,
상기 모바일 네트워크 액세스 디바이스에 의해, 디바이스 식별 데이터를 네트워크 액세스 서버에 제공하는 단계를 더 포함하고,
상기 서명된 액세스 인증서는 상기 디바이스 식별 데이터를 포함하는
방법.
15. The method of claim 14,
Further comprising, by the mobile network access device, providing device identification data to a network access server,
Wherein the signed access certificate comprises the device identification data
Way.
제 15 항에 있어서,
상기 디바이스 식별 데이터는 상기 서명된 액세스 인증서의 대상 필드(a subject field)에서 전달되는
방법.
16. The method of claim 15,
The device identification data is conveyed in a subject field of the signed access certificate
Way.
제 14 항에 있어서,
상기 네트워크 액세스 표준 지정은 핫스팟 2.0(HS2.0) 또는 그 후의 표준을 특정하는
방법.
15. The method of claim 14,
The network access standard specification specifies the hotspot 2.0 (HS2.0) or later standard
Way.
제 14 항에 있어서,
상기 네트워크 액세스 표준 지정은, 상기 서명된 액세스 인증서의 EKU_key_purpose 필드에서 전달되는
방법.15. The method of claim 14,
The network access standard specification is transmitted in the EKU_key_purpose field of the signed access certificate
Way.
KR1020157012468A 2012-11-13 2013-11-06 Restricted certificate enrollment for unknown devices in hotspot networks KR101701793B1 (en)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201261726009P 2012-11-13 2012-11-13
US61/726,009 2012-11-13
US13/930,682 2013-06-28
US13/930,682 US9232400B2 (en) 2012-11-13 2013-06-28 Restricted certificate enrollment for unknown devices in hotspot networks
PCT/US2013/068716 WO2014078147A1 (en) 2012-11-13 2013-11-06 Restricted certificate enrollment for unknown devices in hotspot networks

Publications (2)

Publication Number Publication Date
KR20150069001A true KR20150069001A (en) 2015-06-22
KR101701793B1 KR101701793B1 (en) 2017-02-02

Family

ID=50682189

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157012468A KR101701793B1 (en) 2012-11-13 2013-11-06 Restricted certificate enrollment for unknown devices in hotspot networks

Country Status (6)

Country Link
US (2) US9232400B2 (en)
EP (1) EP2920939B1 (en)
JP (2) JP6086987B2 (en)
KR (1) KR101701793B1 (en)
CN (2) CN104956638B (en)
WO (1) WO2014078147A1 (en)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8914628B2 (en) 2009-11-16 2014-12-16 At&T Intellectual Property I, L.P. Method and apparatus for providing radio communication with an object in a local environment
US9571482B2 (en) 2011-07-21 2017-02-14 Intel Corporation Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol
CN103813330A (en) * 2012-11-15 2014-05-21 中兴通讯股份有限公司 Communication terminal and system and authority management method
US9307408B2 (en) 2012-12-27 2016-04-05 Intel Corporation Secure on-line signup and provisioning of wireless devices
US9414216B1 (en) * 2013-03-15 2016-08-09 Leidos, Inc. Method and system for multiple carrier resource allocation in LTE-advanced networks
US9800581B2 (en) * 2014-03-14 2017-10-24 Cable Television Laboratories, Inc. Automated wireless device provisioning and authentication
JP6168415B2 (en) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 Terminal authentication system, server device, and terminal authentication method
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US10930101B2 (en) 2014-08-27 2021-02-23 Ncr Corporation Self-service terminal (SST) safe and methods of operating a lock for the SST safe
US9825937B2 (en) 2014-09-23 2017-11-21 Qualcomm Incorporated Certificate-based authentication
US20160110833A1 (en) * 2014-10-16 2016-04-21 At&T Mobility Ii Llc Occupancy Indicator
US10104544B2 (en) 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
CN109076058B (en) * 2016-05-27 2020-09-29 华为技术有限公司 Authentication method and device for mobile network
US11765154B2 (en) * 2016-07-26 2023-09-19 Verizon Patent And Licensing Inc. Securely provisioning a service to a customer equipment
US11165591B2 (en) * 2016-09-08 2021-11-02 Cable Television Laboratories, Inc. System and method for a dynamic-PKI for a social certificate authority
US10897709B2 (en) 2016-12-09 2021-01-19 Arris Enterprises Llc Wireless network authorization using a trusted authenticator
JP7208707B2 (en) 2017-02-17 2023-01-19 キヤノン株式会社 Information processing device and its control method and program
EP3785398B1 (en) * 2018-04-26 2022-04-20 SECLOUS GmbH Methods for multi-factor access control in anonymous systems
US11997205B2 (en) 2019-02-25 2024-05-28 Tbcasoft, Inc. Credential verification and issuance through credential service providers
KR102394001B1 (en) 2019-04-29 2022-05-02 한국전기연구원 Gas heat exchanger for thermoelectric power generation
WO2023154071A1 (en) * 2022-02-14 2023-08-17 Rakuten Mobile, Inc. Enhanced authentication procedure for o-ran network elements

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5386104A (en) * 1993-11-08 1995-01-31 Ncr Corporation System and method for detecting user fraud in automated teller machine transactions
WO2001022651A2 (en) * 1999-09-20 2001-03-29 Ethentica, Inc. Cryptographic server with provisions for interoperability between cryptographic systems
US20080016336A1 (en) * 2006-07-17 2008-01-17 Nokia Corporation Generic public key infrastructure architecture

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US6327578B1 (en) * 1998-12-29 2001-12-04 International Business Machines Corporation Four-party credit/debit payment protocol
AU5084500A (en) * 1999-05-21 2000-12-12 International Business Machines Corporation Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
ITRM20020335A1 (en) * 2002-06-14 2003-12-15 Telecom Italia Mobile Spa SELF-REGISTRATION METHOD AND AUTOMATED RELEASE OF DIGITAL CERTIFICATES AND RELATED NETWORK ARCHITECTURE THAT IMPLEMENTS IT.
JP4628684B2 (en) * 2004-02-16 2011-02-09 三菱電機株式会社 Data transmitting / receiving apparatus and electronic certificate issuing method
US20060002556A1 (en) * 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
CN101123501A (en) * 2006-08-08 2008-02-13 西安电子科技大学 A WAPI authentication and secret key negotiation method and system
CN101056177B (en) * 2007-06-01 2011-06-29 清华大学 Radio mesh re-authentication method based on the WLAN secure standard WAPI
TWI426762B (en) * 2008-08-04 2014-02-11 Ind Tech Res Inst Method and system for managing network identity
US8296563B2 (en) * 2008-10-22 2012-10-23 Research In Motion Limited Method of handling a certification request
US8327424B2 (en) * 2009-12-22 2012-12-04 Motorola Solutions, Inc. Method and apparatus for selecting a certificate authority
US9225525B2 (en) * 2010-02-26 2015-12-29 Red Hat, Inc. Identity management certificate operations
KR101644723B1 (en) * 2011-09-09 2016-08-01 인텔 코포레이션 Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5386104A (en) * 1993-11-08 1995-01-31 Ncr Corporation System and method for detecting user fraud in automated teller machine transactions
WO2001022651A2 (en) * 1999-09-20 2001-03-29 Ethentica, Inc. Cryptographic server with provisions for interoperability between cryptographic systems
US20080016336A1 (en) * 2006-07-17 2008-01-17 Nokia Corporation Generic public key infrastructure architecture

Also Published As

Publication number Publication date
CN108183803B (en) 2021-04-16
US9232400B2 (en) 2016-01-05
JP2017126987A (en) 2017-07-20
US9660977B2 (en) 2017-05-23
EP2920939A1 (en) 2015-09-23
KR101701793B1 (en) 2017-02-02
US20160134622A1 (en) 2016-05-12
WO2014078147A1 (en) 2014-05-22
JP6086987B2 (en) 2017-03-01
US20140134980A1 (en) 2014-05-15
CN104956638A (en) 2015-09-30
EP2920939B1 (en) 2019-09-18
JP2015537471A (en) 2015-12-24
CN104956638B (en) 2018-04-17
CN108183803A (en) 2018-06-19

Similar Documents

Publication Publication Date Title
KR101701793B1 (en) Restricted certificate enrollment for unknown devices in hotspot networks
JP6612358B2 (en) Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point
CN108028758B (en) Method and apparatus for downloading profiles in a communication system
US20230070253A1 (en) Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services
EP3562184B1 (en) Technique for managing profile in communication system
JP6752218B2 (en) Methods and devices for managing terminal profiles in wireless communication systems
US12074883B2 (en) Systems and methods for network access granting
CN113796111A (en) Apparatus and method for providing mobile edge computing service in wireless communication system
US20160301529A1 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
EP3286945B1 (en) Method and system for authentication of collaborative mobile devices
KR20120091635A (en) Authentication method and apparatus in wireless communication system
EP3143780B1 (en) Device authentication to capillary gateway
CN113973301B (en) Autonomous device authentication for private network access
US20140259124A1 (en) Secure wireless network connection method
CN106465116B (en) Access control for wireless networks
CN112423299B (en) Method and system for wireless access based on identity authentication
CN104518874A (en) Network access control method and system
KR20140095050A (en) Method and apparatus for supporting single sign-on in a mobile communication system
KR101660261B1 (en) Method for configuring access point connection information and terminal device for the same
KR20130062965A (en) System and method for access authentication for wireless network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 4